第7章操作系統(tǒng)的安全內(nèi)容介紹一、操作系統(tǒng)的安全標(biāo)準(zhǔn)及發(fā)展二、操作系統(tǒng)安全設(shè)計(jì)的要求三、常見(jiàn)系統(tǒng)的安全設(shè)計(jì)特性介紹四、Windows的安全設(shè)置策略五、作業(yè)Page1一、安全操作系統(tǒng)的研究發(fā)展操作系統(tǒng)的安全性在計(jì)算機(jī)信息系統(tǒng)的整體安全性中具有至關(guān)重要的作用沒(méi)有操作系統(tǒng)提供的安全性，信息系統(tǒng)的安全性是沒(méi)有基礎(chǔ)的1.1標(biāo)準(zhǔn)的發(fā)展1.2應(yīng)用的研究Page21.1（操作系統(tǒng)）國(guó)際安全評(píng)價(jià)標(biāo)準(zhǔn)的發(fā)展及其聯(lián)系Page3國(guó)際安全評(píng)價(jià)標(biāo)準(zhǔn)的發(fā)展及其聯(lián)系Page4國(guó)際安全評(píng)價(jià)標(biāo)準(zhǔn)的發(fā)展及其聯(lián)系類別級(jí)別名稱主要特征DD低級(jí)保護(hù)沒(méi)有安全保護(hù)CC1自主安全保護(hù)自主存儲(chǔ)控制C2受控存儲(chǔ)控制單獨(dú)的可查性，安全標(biāo)識(shí)BB1標(biāo)識(shí)的安全保護(hù)強(qiáng)制存取控制，安全標(biāo)識(shí)B2結(jié)構(gòu)化保護(hù)面向安全的體系結(jié)構(gòu)，較好的抗?jié)B透能力B3安全區(qū)域存取監(jiān)控、高抗?jié)B透能力AA驗(yàn)證設(shè)計(jì)形式化的最高級(jí)描述和驗(yàn)證Page5安全級(jí)別列表各級(jí)的代表系統(tǒng)：Page6各級(jí)的具體講解：D級(jí)是最低的安全級(jí)別，擁有這個(gè)級(jí)別的操作系統(tǒng)是完全不可信任的。對(duì)于硬件來(lái)說(shuō)，是沒(méi)有任何保護(hù)措施的，操作系統(tǒng)容易受到損害，沒(méi)有系統(tǒng)訪問(wèn)限制和數(shù)據(jù)訪問(wèn)限制，任何人不需任何賬戶都可以進(jìn)入系統(tǒng)，不受任何限制可以訪問(wèn)他人的數(shù)據(jù)文件。Page7國(guó)際安全評(píng)價(jià)標(biāo)準(zhǔn)的發(fā)展及其聯(lián)系C1是C類的一個(gè)安全子級(jí)。這種級(jí)別的系統(tǒng)對(duì)硬件有某種程度的保護(hù)，如用戶擁有注冊(cè)賬號(hào)和口令，系統(tǒng)通過(guò)賬號(hào)和口令來(lái)識(shí)別用戶是否合法，并決定用戶對(duì)程序和信息擁有什么樣的訪問(wèn)權(quán)，但硬件受到損害的可能性仍然存在。用戶擁有的訪問(wèn)權(quán)是指對(duì)文件和目標(biāo)的訪問(wèn)權(quán)。文件的擁有者和超級(jí)用戶可以改變文件的訪問(wèn)屬性，從而對(duì)不同的用戶授予不通的訪問(wèn)權(quán)限。Page8國(guó)際安全評(píng)價(jià)標(biāo)準(zhǔn)的發(fā)展及其聯(lián)系使用附加身份驗(yàn)證就可以讓一個(gè)C2級(jí)系統(tǒng)用戶在不是超級(jí)用戶的情況下有權(quán)執(zhí)行系統(tǒng)管理任務(wù)。授權(quán)分級(jí)使系統(tǒng)管理員能夠給用戶分組，授予他們?cè)L問(wèn)某些程序的權(quán)限或訪問(wèn)特定的目錄。Page9國(guó)際安全評(píng)價(jià)標(biāo)準(zhǔn)的發(fā)展及其聯(lián)系B級(jí)中有三個(gè)級(jí)別，B1級(jí)即標(biāo)志安全保護(hù)（LabeledSecurityProtection），是支持多級(jí)安全（例如：秘密和絕密）的第一個(gè)級(jí)別，這個(gè)級(jí)別說(shuō)明處于強(qiáng)制性訪問(wèn)控制之下的對(duì)象，系統(tǒng)不允許文件的擁有者改變其許可權(quán)限Page10國(guó)際安全評(píng)價(jià)標(biāo)準(zhǔn)的發(fā)展及其聯(lián)系B2級(jí)，又叫結(jié)構(gòu)保護(hù)級(jí)別（StructuredProtection），它要求計(jì)算機(jī)系統(tǒng)中所有的對(duì)象都要加上標(biāo)簽，而且給設(shè)備（磁盤、磁帶和終端）分配單個(gè)或者多個(gè)安全級(jí)別Page11國(guó)際安全評(píng)價(jià)標(biāo)準(zhǔn)的發(fā)展及其聯(lián)系B3級(jí)，又叫做安全域級(jí)別（SecurityDomain），使用安裝硬件的方式來(lái)加強(qiáng)域的安全，例如，內(nèi)存管理硬件用于保護(hù)安全域免遭無(wú)授權(quán)訪問(wèn)或更改其他安全域的對(duì)象。該級(jí)別也要求用戶通過(guò)一條可信任途徑連接到系統(tǒng)上Page12國(guó)際安全評(píng)價(jià)標(biāo)準(zhǔn)的發(fā)展及其聯(lián)系A(chǔ)級(jí)，又稱驗(yàn)證設(shè)計(jì)級(jí)別（VerifiedDesign），是當(dāng)前橙皮書(shū)的最高級(jí)別，它包含了一個(gè)嚴(yán)格的設(shè)計(jì)、控制和驗(yàn)證過(guò)程。該級(jí)別包含了較低級(jí)別的所有的安全特性設(shè)計(jì)必須從數(shù)學(xué)角度上進(jìn)行驗(yàn)證，而且必須進(jìn)行秘密通道和可信任分布分析。可信任分布（TrustedDistribution）的含義是：硬件和軟件在物理傳輸過(guò)程中已經(jīng)受到保護(hù)，以防止破壞安全系統(tǒng)Page13我國(guó)安全標(biāo)準(zhǔn)簡(jiǎn)介用戶自主保護(hù)級(jí)系統(tǒng)審計(jì)保護(hù)級(jí)安全標(biāo)記保護(hù)級(jí)結(jié)構(gòu)化保護(hù)級(jí)訪問(wèn)驗(yàn)證保護(hù)級(jí)它的安全保護(hù)機(jī)制使用戶具備自主安全保護(hù)的能力，保護(hù)用戶的信息免受非法的讀寫破壞。Page14我國(guó)安全標(biāo)準(zhǔn)簡(jiǎn)介用戶自主保護(hù)級(jí)系統(tǒng)審計(jì)保護(hù)級(jí)安全標(biāo)記保護(hù)級(jí)結(jié)構(gòu)化保護(hù)級(jí)訪問(wèn)驗(yàn)證保護(hù)級(jí)除具備第一級(jí)所有的安全保護(hù)功能外，要求創(chuàng)建和維護(hù)訪問(wèn)的審計(jì)跟蹤記錄，使所有的用戶對(duì)自己的行為的合法性負(fù)責(zé)。Page15我國(guó)安全標(biāo)準(zhǔn)簡(jiǎn)介用戶自主保護(hù)級(jí)系統(tǒng)審計(jì)保護(hù)級(jí)安全標(biāo)記保護(hù)級(jí)結(jié)構(gòu)化保護(hù)級(jí)訪問(wèn)驗(yàn)證保護(hù)級(jí)除繼承前一個(gè)級(jí)別的安全功能外，還要求以訪問(wèn)對(duì)象標(biāo)記的安全級(jí)別限制訪問(wèn)者的訪問(wèn)權(quán)限，實(shí)現(xiàn)對(duì)訪問(wèn)對(duì)象的強(qiáng)制保護(hù)Page16我國(guó)安全標(biāo)準(zhǔn)簡(jiǎn)介用戶自主保護(hù)級(jí)系統(tǒng)審計(jì)保護(hù)級(jí)安全標(biāo)記保護(hù)級(jí)結(jié)構(gòu)化保護(hù)級(jí)訪問(wèn)驗(yàn)證保護(hù)級(jí)在繼承前面安全級(jí)別安全功能的基礎(chǔ)上，將安全保護(hù)機(jī)制劃分為關(guān)鍵部分和非關(guān)鍵部分，對(duì)關(guān)鍵部分直接控制訪問(wèn)者對(duì)訪問(wèn)對(duì)象的存取，從而加強(qiáng)系統(tǒng)的抗?jié)B透能力Page17我國(guó)安全標(biāo)準(zhǔn)簡(jiǎn)介用戶自主保護(hù)級(jí)系統(tǒng)審計(jì)保護(hù)級(jí)安全標(biāo)記保護(hù)級(jí)結(jié)構(gòu)化保護(hù)級(jí)訪問(wèn)驗(yàn)證保護(hù)級(jí)這一個(gè)級(jí)別特別增設(shè)了訪問(wèn)驗(yàn)證功能，負(fù)責(zé)仲裁訪問(wèn)者對(duì)訪問(wèn)對(duì)象的所有訪問(wèn)活動(dòng)Page18國(guó)外安全操作系統(tǒng)的發(fā)展1965年美國(guó)貝爾實(shí)驗(yàn)室和麻省理工學(xué)院的MAC課題組等一起聯(lián)合開(kāi)發(fā)一個(gè)稱為Multics的新操作系統(tǒng)，其目標(biāo)是要向大的用戶團(tuán)體提供對(duì)計(jì)算機(jī)的并發(fā)訪問(wèn)，支持強(qiáng)大的計(jì)算能力和數(shù)據(jù)存儲(chǔ)，并具有很高的安全性。貝爾實(shí)驗(yàn)室中后來(lái)參加UNIX早期研究的許多人當(dāng)時(shí)都參加了Multics的開(kāi)發(fā)工作。由于Multics項(xiàng)目目標(biāo)的理想性和開(kāi)發(fā)中所遇到的遠(yuǎn)超預(yù)期的復(fù)雜性使得結(jié)果不是很理想。事實(shí)上連他們自己也不清楚什么時(shí)候，開(kāi)發(fā)到什么程度才算達(dá)到設(shè)計(jì)的目標(biāo)。雖然Multics未能成功，但它在安全操作系統(tǒng)的研究方面邁出了重要的第一步，Multics為后來(lái)的安全操作系統(tǒng)研究積累了大量的經(jīng)驗(yàn)。Adept-50是一個(gè)分時(shí)安全操作系統(tǒng)，可以實(shí)際投入使用，1969年C.Weissman發(fā)表了有關(guān)Adept-50的安全控制的研究成果。安全Adept-50運(yùn)行于IBM/360硬件平臺(tái)，它以一個(gè)形式化的安全模型——高水印模型（High-Water-MarkModel）為基礎(chǔ)，實(shí)現(xiàn)了美國(guó)的一個(gè)軍事安全系統(tǒng)模型，為給定的安全問(wèn)題提供了一個(gè)比較形式化的解決方案。在該系統(tǒng)中可以為客體標(biāo)上敏感級(jí)別（SensitivityLevel）屬性。系統(tǒng)支持的基本安全條件是，對(duì)于讀操作不允許信息的敏感級(jí)別高于用戶的安全級(jí)別（Clearance）；在授權(quán)情況下，對(duì)于寫操作允許信息從高敏感級(jí)別移向低敏感級(jí)別。1969年B.W.Lampson通過(guò)形式化表示方法運(yùn)用主體（Subject）、客體（Object）和訪問(wèn)矩陣（AccessMatrix）的思想第一次對(duì)訪問(wèn)控制問(wèn)題進(jìn)行了抽象。1972年，J.P.Anderson在一份研究報(bào)告中提出了訪問(wèn)監(jiān)控器（ReferenceMonitor）、引用驗(yàn)證機(jī)制（ReferenceValidationMechanism）、安全內(nèi)核（SecurityKernel）和安全建模等重要思想。LINVSⅣ是1984年開(kāi)發(fā)的基于UNIX的一個(gè)實(shí)驗(yàn)安全操作系統(tǒng)，系統(tǒng)的安全性可達(dá)到美國(guó)國(guó)防部橘皮書(shū)的B2級(jí)。它以4.1BSDUnix為原型，實(shí)現(xiàn)了身份鑒別、自主訪問(wèn)控制、強(qiáng)制訪問(wèn)控制、安全審計(jì)、特權(quán)用戶權(quán)限分隔等安全功能。SecureXenix是IBM公司于1986年在SCOXenix的基礎(chǔ)上開(kāi)發(fā)的一個(gè)安全操作系統(tǒng)，它最初是在IBMPC/AT平臺(tái)上實(shí)現(xiàn)的。SecureXenix對(duì)Xenix進(jìn)行了大量的改造開(kāi)發(fā)，并采用了一些形式化說(shuō)明與驗(yàn)證技術(shù)。它的目標(biāo)是TCSEC的B2到A1級(jí)。1987年，美國(guó)TrustedInformationSystems公司以Mach操作系統(tǒng)為基礎(chǔ)開(kāi)發(fā)了B3級(jí)的Tmach（TrustedMach）操作系統(tǒng)。除了進(jìn)行用戶標(biāo)識(shí)和鑒別及命名客體的存取控制外，它將BLP模型加以改進(jìn)，運(yùn)用到對(duì)MACH核心的端口、存儲(chǔ)對(duì)象等的管理當(dāng)中。通過(guò)對(duì)端口間的消息傳送進(jìn)行控制和對(duì)端口、存儲(chǔ)對(duì)象、任務(wù)等的安全標(biāo)識(shí)來(lái)加強(qiáng)微核心的安全機(jī)制。1989年，加拿大多倫多大學(xué)開(kāi)發(fā)了與UNIX兼容的安全TUNIS操作系統(tǒng)。1.2安全操作系統(tǒng)的研究歷程Page19國(guó)外安全操作系統(tǒng)的發(fā)展ASOS（ArmySecureOperatingSystem）是針對(duì)美軍的戰(zhàn)術(shù)需要而設(shè)計(jì)的軍用安全操作系統(tǒng)，由TRW公司1990年發(fā)布完成。ASOS由兩類系統(tǒng)組成，其中一類是多級(jí)安全操作系統(tǒng)，設(shè)計(jì)目標(biāo)是TCSEC的A1級(jí)；另一類是專用安全操作系統(tǒng)，設(shè)計(jì)目標(biāo)是TCSEC的C2級(jí)。兩類系統(tǒng)都支持Ada語(yǔ)言編寫的實(shí)時(shí)戰(zhàn)術(shù)應(yīng)用程序，都能根據(jù)不同的戰(zhàn)術(shù)應(yīng)用需求進(jìn)行配置，都可以很容易地在不同硬件平臺(tái)間移植，兩類系統(tǒng)還提供了一致的用戶界面。OSF/1是開(kāi)放軟件基金會(huì)于1990年推出的一個(gè)安全操作系統(tǒng)，被美國(guó)國(guó)家計(jì)算機(jī)安全中心（NCSC）認(rèn)可為符合TCSEC的B1級(jí)，其主要安全性表現(xiàn)4個(gè)方面：⑴系統(tǒng)標(biāo)識(shí)；⑵口令管理；⑶強(qiáng)制存取控制和自主存取控制；⑷審計(jì)。UNIXSVR4.1ES是UI（UNIX國(guó)際組織）于1991年推出的一個(gè)安全操作系統(tǒng)，被美國(guó)國(guó)家計(jì)算機(jī)安全中心（NCSC）認(rèn)可為符合TCSEC的B2級(jí)，除OSF/1外的安全性主要表現(xiàn)在4個(gè)方面：⑴更全面的存取控制；⑵最小特權(quán)管理；⑶可信通路；⑷隱蔽通道分析和處理。在1992到1993年之間，美國(guó)國(guó)家安全局（NSA）和安全計(jì)算公司（SCC）的研究人員在TMach項(xiàng)目和LOCK項(xiàng)目的基礎(chǔ)上，共同設(shè)計(jì)和實(shí)現(xiàn)了分布式可信Mach系統(tǒng)（DistributedTrustedMach，DTMach）。DTMach項(xiàng)目的后繼項(xiàng)目是分布式可信操作系統(tǒng)（DistributedTrustedOperatingSystem，DTOS）。DTOS項(xiàng)目改良了早期的設(shè)計(jì)和實(shí)現(xiàn)工作，產(chǎn)生了一些供大學(xué)研究的原型系統(tǒng)，例如SecureTransactionalResources、DX等。2001年，F(xiàn)lask由NSA在Linux操作系統(tǒng)上實(shí)現(xiàn)，并且不同尋常地向開(kāi)放源碼社區(qū)發(fā)布了一個(gè)安全性增強(qiáng)型版本的Linux（SELinux）－－包括代碼和所有文檔。與傳統(tǒng)的基于TCSEC標(biāo)準(zhǔn)的開(kāi)發(fā)方法不同，1997年美國(guó)國(guó)家安全局和安全計(jì)算公司完成的DTOS安全操作系統(tǒng)采用了基于安全威脅的開(kāi)發(fā)方法。設(shè)計(jì)目標(biāo)包括3個(gè)方面：（1）策略靈活性：DTOS內(nèi)核應(yīng)該能夠支持一系列的安全策略，包括諸如國(guó)防部的強(qiáng)制存取控制多級(jí)安全策略；（2）與Mach兼容，現(xiàn)有的Mach應(yīng)用應(yīng)能在不做任何改變的情況下運(yùn)行；（3）性能應(yīng)與Mach接近。Page20國(guó)內(nèi)安全操作系統(tǒng)的發(fā)展1990年前后，海軍計(jì)算技術(shù)研究所和解放軍電子技術(shù)學(xué)院分別開(kāi)始了安全操作系統(tǒng)技術(shù)方面的探討，他們都是參照美國(guó)TCSEC標(biāo)準(zhǔn)的B2級(jí)安全要求，基于UNIXSystemV3.2進(jìn)行安全操作系統(tǒng)的研究與開(kāi)發(fā)。1993年，海軍計(jì)算技術(shù)研究所繼續(xù)按照美國(guó)TCSEC標(biāo)準(zhǔn)的B2級(jí)安全要求，圍繞UnixSVR4.2/SE，實(shí)現(xiàn)了國(guó)產(chǎn)自主的安全增強(qiáng)包。1995年，在國(guó)家“八五”科技攻關(guān)項(xiàng)目――“COSA國(guó)產(chǎn)系統(tǒng)軟件平臺(tái)”中，圍繞UNIX類國(guó)產(chǎn)操作系統(tǒng)COSIXV2.0的安全子系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)，中國(guó)計(jì)算機(jī)軟件與技術(shù)服務(wù)總公司、海軍計(jì)算技術(shù)研究所和中國(guó)科學(xué)院軟件研究所一起參與了研究工作。COSIXV2.0安全子系統(tǒng)的設(shè)計(jì)目標(biāo)是介于美國(guó)TCSEC的B1和B2級(jí)安全要求之間，當(dāng)時(shí)定義為B1＋，主要實(shí)現(xiàn)的安全功能包括安全登錄、自主訪問(wèn)控制、強(qiáng)制訪問(wèn)控制、特權(quán)管理、安全審計(jì)和可信通路等。1996年，由中國(guó)國(guó)防科學(xué)技術(shù)工業(yè)委員會(huì)發(fā)布了軍用計(jì)算機(jī)安全評(píng)估準(zhǔn)則GJB2646－96（一般簡(jiǎn)稱為軍標(biāo)），它與美國(guó)TCSEC基本一致。1998年，電子工業(yè)部十五所基于UnixWareV2.1按照美國(guó)TCSEC標(biāo)準(zhǔn)的B1級(jí)安全要求，對(duì)Unix操作系統(tǒng)的內(nèi)核進(jìn)行了安全性增強(qiáng)。1999年10月19日，我國(guó)國(guó)家技術(shù)監(jiān)督局發(fā)布了國(guó)家標(biāo)準(zhǔn)GB17859－1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》，為計(jì)算機(jī)信息系統(tǒng)安全保護(hù)能力劃分了等級(jí)。該標(biāo)準(zhǔn)已于2001年起強(qiáng)制執(zhí)行。Linux自由軟件的廣泛流行對(duì)我國(guó)安全操作系統(tǒng)的研究與開(kāi)發(fā)具有積極的推進(jìn)作用。2001年前后，我國(guó)安全操作系統(tǒng)研究人員相繼推出了一批基于Linux的安全操作系統(tǒng)開(kāi)發(fā)成果。中國(guó)科學(xué)院信息安全技術(shù)工程研究中心基于Linux資源，開(kāi)發(fā)完成了符合我國(guó)GB17859－1999第三級(jí)（相當(dāng)于美國(guó)TCSECB1）安全要求的安全操作系統(tǒng)SecLinux。SecLinux系統(tǒng)提供了身份標(biāo)識(shí)與鑒別、自主訪問(wèn)控制、強(qiáng)制訪問(wèn)控制、最小特權(quán)管理、安全審計(jì)、可信通路、密碼服務(wù)、網(wǎng)絡(luò)安全服務(wù)等方面的安全功能。依托南京大學(xué)的江蘇南大蘇富特軟件股份有限公司開(kāi)發(fā)完成了基于Linux的安全操作系統(tǒng)SoftOS，實(shí)現(xiàn)的安全功能包括：強(qiáng)制訪問(wèn)控制、審計(jì)、禁止客體重用、入侵檢測(cè)等。信息產(chǎn)業(yè)部30所控股的三零盛安公司推出的強(qiáng)林Linux安全操作系統(tǒng)，達(dá)到了我國(guó)GB17859－1999第三級(jí)的安全要求。中國(guó)科學(xué)院軟件所開(kāi)放系統(tǒng)與中文處理中心基于紅旗Linux操作系統(tǒng)，實(shí)現(xiàn)了符合我國(guó)GB17859－1999第三級(jí)要求的安全功能。中國(guó)計(jì)算機(jī)軟件與技術(shù)服務(wù)總公司以美國(guó)TCSEC標(biāo)準(zhǔn)的B1級(jí)為安全目標(biāo)，對(duì)其COSIXV2.0進(jìn)行了安全性增強(qiáng)改造。此外，國(guó)防科技大學(xué)、總參56所等其他單位也開(kāi)展了安全操作系統(tǒng)的研究與開(kāi)發(fā)工作。2001年3月8日，我國(guó)國(guó)家技術(shù)監(jiān)督局發(fā)布了國(guó)家標(biāo)準(zhǔn)GB/T18336－2001《信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則》，它基本上等同采用了國(guó)際通用安全評(píng)價(jià)準(zhǔn)則CC。該標(biāo)準(zhǔn)已于2001年12月1日起推薦執(zhí)行，這將對(duì)我國(guó)安全操作系統(tǒng)研究與開(kāi)發(fā)產(chǎn)生進(jìn)一步的影響。Page21二、操作系統(tǒng)安全的基本要求與機(jī)制什么是操作系統(tǒng)？操作系統(tǒng)的基本功能有哪些？從安全的角度上看，操作系統(tǒng)應(yīng)當(dāng)提供哪些安全服務(wù)？操作系統(tǒng)安全的主要目標(biāo)按系統(tǒng)安全策略對(duì)用戶的操作進(jìn)行訪問(wèn)控制，防止用戶對(duì)計(jì)算機(jī)資源的非法使用包括竊取、篡改和破壞標(biāo)識(shí)系統(tǒng)中的用戶，并對(duì)身份進(jìn)行鑒別監(jiān)督系統(tǒng)運(yùn)行的安全性保證系統(tǒng)自身的安全性和完整性內(nèi)存保護(hù)文件保護(hù)普通實(shí)體保護(hù)存取鑒別等Page22操作系統(tǒng)的安全機(jī)制安全機(jī)制：是一種技術(shù)、一些軟件或?qū)嵤┮粋€(gè)或更多安全服務(wù)的過(guò)程標(biāo)識(shí)與鑒別機(jī)制信任的功能性事件檢測(cè)審計(jì)跟蹤安全恢復(fù)2.1標(biāo)識(shí)與鑒別機(jī)制2.2訪問(wèn)控制2.2最小特權(quán)管理2.3可信通路2.4安全審計(jì)機(jī)制2.5存儲(chǔ)保護(hù)、運(yùn)行保護(hù)和I/O保護(hù)Page23

2.1標(biāo)識(shí)與鑒別機(jī)制（身份認(rèn)證）標(biāo)識(shí)：用戶要向系統(tǒng)表明的身份用戶名、登錄ID、身份證號(hào)或智能卡應(yīng)當(dāng)具有唯一性不能被偽造鑒別，對(duì)用戶所宣稱的身份標(biāo)識(shí)的有效性進(jìn)行校驗(yàn)和測(cè)試的過(guò)程Page24用戶聲明自己身份的4種方法證實(shí)自己所知道的例如密碼、身份證號(hào)碼、最喜歡的歌手、最愛(ài)的人的名字等等出示自己所擁有的例如智能卡證明自己是誰(shuí)例如指紋、語(yǔ)音波紋、視網(wǎng)膜樣本、照片、面部特征掃描等等表現(xiàn)自己的動(dòng)作例如簽名、鍵入密碼的速度與力量、語(yǔ)速等等Page252.2訪問(wèn)控制訪問(wèn)控制用來(lái)提供授權(quán)用戶在通過(guò)身份鑒別后，還需要通過(guò)授權(quán)，才能訪問(wèn)資源或進(jìn)行操作使用訪問(wèn)控制機(jī)制的目的保護(hù)存儲(chǔ)在計(jì)算機(jī)上的個(gè)人信息保護(hù)重要信息的機(jī)密性維護(hù)計(jì)算機(jī)內(nèi)信息的完整性減少病毒感染機(jī)會(huì)，從而延緩這種感染的傳播保證系統(tǒng)的安全性和有效性，以免受到偶然的和蓄意的侵犯Page26訪問(wèn)控制機(jī)制的實(shí)行確定要保護(hù)的資源授權(quán)確定訪問(wèn)權(quán)限實(shí)施訪問(wèn)權(quán)限Page27系統(tǒng)內(nèi)主體對(duì)客體的訪問(wèn)控制機(jī)制自主訪問(wèn)控制強(qiáng)制訪問(wèn)控制基于角色的訪問(wèn)控制Page28在文件和目錄中常用的幾種訪問(wèn)模式對(duì)文件設(shè)置的訪問(wèn)模式讀拷貝（Read－copy）與單純的讀？？寫刪除（Write－delete）不同的系統(tǒng)可能有不同的寫模式，或復(fù)雜的組合（更細(xì)致）

寫附加、刪除、寫修改等執(zhí)行（Execute）通常需要同時(shí)具備讀權(quán)限無(wú)效（Null）：對(duì)客體不具備任何訪問(wèn)權(quán)限Page29考慮目錄對(duì)目錄及和目錄相對(duì)應(yīng)的文件的訪問(wèn)操作對(duì)目錄而不對(duì)文件實(shí)施訪問(wèn)控制對(duì)文件而不對(duì)目錄實(shí)施訪問(wèn)控制對(duì)目錄及文件都實(shí)施訪問(wèn)控制（最好）對(duì)目錄的訪問(wèn)模式讀寫擴(kuò)展（write－expand）更細(xì)的：讀狀態(tài)、修改、附加Page302.3最小特權(quán)管理超級(jí)用戶VS.普通用戶主流多用戶操作系統(tǒng)中，超級(jí)用戶一般具有所有特權(quán)，而普通用戶不具有任何特權(quán)威脅：超級(jí)用戶口令丟失；被冒充；誤操作解決方法：實(shí)行最小特權(quán)管理原則參考：http:///developerworks/cn/security/se-limited/Page31橘皮書(shū)關(guān)于最小特權(quán)的定義：要求賦予系統(tǒng)中每個(gè)使用者執(zhí)行授權(quán)任務(wù)所需的限制性最強(qiáng)的一組特權(quán)，即最低許可這個(gè)原則的應(yīng)用將限制因意外、錯(cuò)誤或未經(jīng)授權(quán)使用而造成的損害Page32最小特權(quán)原則：必不可少的特權(quán)充分性：保證所有的主體都能在所賦予的特權(quán)之下完成所需要完成的任務(wù)或操作必要性：在充分的前提下加以限制基本思想和出發(fā)點(diǎn)：系統(tǒng)不應(yīng)給用戶超過(guò)執(zhí)行任務(wù)所需特權(quán)以外的特權(quán)一種可能的方案：將特權(quán)用戶的特權(quán)加以劃分，形成一組細(xì)粒度的特權(quán)Page33最小特權(quán)舉例1在系統(tǒng)中定義系統(tǒng)安全管理員審計(jì)員操作員安全操作員網(wǎng)絡(luò)管理員任何一個(gè)用戶都不能獲取足夠的權(quán)力破壞系統(tǒng)的安全策略為了保證系統(tǒng)的安全性，不應(yīng)賦予某人一個(gè)以上的職責(zé)Page34系統(tǒng)安全管理員對(duì)系統(tǒng)資源和應(yīng)用定義安全級(jí)限制隱蔽通道活動(dòng)的機(jī)制定義用戶和自主訪問(wèn)控制的組為所有用戶賦予安全級(jí)審計(jì)員設(shè)置審計(jì)參數(shù)修改和刪除審計(jì)系統(tǒng)產(chǎn)生的原始審計(jì)信息控制審計(jì)歸檔Page35操作員啟動(dòng)和停止系統(tǒng)，以及完成磁盤一致性檢查等格式化新的存儲(chǔ)介質(zhì)設(shè)置終端參數(shù)允許或不允許登錄，但不能改變口令、用戶的安全紀(jì)和其他有關(guān)安全的登錄參數(shù)產(chǎn)生原始的系統(tǒng)記賬數(shù)據(jù)Page36安全操作員：完成安全相關(guān)的日常例行活動(dòng)；相當(dāng)于具有特權(quán)能力的操作員。完成操作員的所有責(zé)任例行的備份和恢復(fù)安裝和拆卸可安裝介質(zhì)Page37網(wǎng)絡(luò)管理員管理網(wǎng)絡(luò)軟件，如TCP/IP設(shè)置BUN文件，允許使用Uucp，Uuto等進(jìn)行網(wǎng)絡(luò)通信設(shè)置與連接服務(wù)器、CRI認(rèn)證機(jī)構(gòu)、ID映射機(jī)構(gòu)、地址映射機(jī)構(gòu)和網(wǎng)絡(luò)選擇有關(guān)的管理文件啟動(dòng)和停止RFS，通過(guò)RFS共享和安裝資源啟動(dòng)和停止NFS，通過(guò)NFS共享和安裝資源Page38最小特權(quán)舉例2CAP_SETPLEVELCAP_SETSPRIVCAP_SETUIDCAP_SYSOPSCAP_SETUPRIVCAP_MACUPGRADECAP_FSYSRANGECAP_SETFLEVELCAP_PLOCKCAP_CORECAP_LOADMODCAP_SEC_OPCAP_DEVCAP_OPCAP_NET_ADMIN將系統(tǒng)中能進(jìn)行敏感操作的能力分成26個(gè)特權(quán)CAP_OWNERCAP_AUDITCAP_COMPATCAP_DACREADCAP_DACWRITECAP_DEVCAP_FILESYSCAP_MACREADCAP_WRITECAP_MOUNTCAP_MULTIDIR由一些特權(quán)用戶分別掌握這些特權(quán)，哪一個(gè)特權(quán)用戶都不能獨(dú)立完成所有的敏感操作Page39常見(jiàn)的最小特權(quán)管理機(jī)制基于文件的特權(quán)機(jī)制基于進(jìn)程的特權(quán)機(jī)制目前幾種安全OS的最小特權(quán)管理機(jī)制惠普的Presidum/VirtualVault根功能分成42中獨(dú)立的特權(quán)最小特權(quán)是惠普可信賴OSVirtualVault的基本特性紅旗安全操作系統(tǒng)RFSOS一個(gè)管理角色不擁有另一個(gè)管理角色的特權(quán)，攻擊者破獲某個(gè)管理角色口令時(shí)，不會(huì)得到對(duì)系統(tǒng)的完全控制Page40SELinux系統(tǒng)中不再有超級(jí)用戶，而被分解避免了超級(jí)用戶的誤操作或其身份被假冒而帶來(lái)的安全隱患Page412.4可信通路可信通路是用戶能夠借以同可信計(jì)算基通信的一種機(jī)制能夠保證用戶確定是和安全核心通信防止不可信進(jìn)程如特洛伊木馬等模擬系統(tǒng)的登錄過(guò)程而竊取用戶的口令最簡(jiǎn)單的辦法：給每個(gè)用戶兩臺(tái)終端一臺(tái)用于處理日常工作；

一臺(tái)專門用于和內(nèi)核的硬連接昂貴另一種方法：使用通用終端，通過(guò)發(fā)信號(hào)給核心不可信軟件不能攔截、覆蓋或偽造的信號(hào)安全注意鍵Page42Linux的安全注意鍵在x86平臺(tái)上是<Alt>+<Ctrl>+<SYSRq)Page432.5安全審計(jì)機(jī)制審計(jì)是一種事后分析法，一般通過(guò)對(duì)日志的分析來(lái)完成日志：記錄的事件或統(tǒng)計(jì)數(shù)據(jù)提供關(guān)于系統(tǒng)使用及性能方面的信息審計(jì)：對(duì)日志記錄進(jìn)行分析以清晰的、能理解的方式表述系統(tǒng)信息安全審計(jì)：對(duì)系統(tǒng)中有關(guān)安全的活動(dòng)進(jìn)行記錄、檢查及審核認(rèn)定違反安全規(guī)則的行為Page44審計(jì)機(jī)制的主要作用主要作用能詳細(xì)記錄與系統(tǒng)安全有關(guān)的行為，并對(duì)這些行為進(jìn)行分析，發(fā)現(xiàn)系統(tǒng)中的不安全因素，保障系統(tǒng)安全能夠?qū)`反安全規(guī)則的行為或企圖提供證據(jù)，幫助追查違規(guī)行為發(fā)生的地點(diǎn)、過(guò)程以及對(duì)應(yīng)的主體對(duì)于已受攻擊的系統(tǒng)，可以提供信息幫助進(jìn)行損失評(píng)估和系統(tǒng)恢復(fù)安全操作系統(tǒng)一般都要求采用審計(jì)機(jī)制來(lái)監(jiān)視與安全相關(guān)的活動(dòng)橘皮書(shū)中有明確要求Page452.5.1審計(jì)事件審計(jì)事件是系統(tǒng)審計(jì)用戶動(dòng)作的基本單位通常根據(jù)要審計(jì)行為的不同性質(zhì)加以分類主體：要記錄用戶進(jìn)行的所有活動(dòng)客體：要記錄關(guān)于某一客體的所有訪問(wèn)活動(dòng)用戶事件標(biāo)準(zhǔn)每個(gè)用戶有自己的待審計(jì)事件集基本事件集在用戶事件標(biāo)準(zhǔn)中，每個(gè)用戶都要審計(jì)的公共部分橘皮書(shū)從C2級(jí)開(kāi)始要求具有審計(jì)功能GB17859-1999從第二級(jí)開(kāi)始就對(duì)審計(jì)有了明確的要求Page462.5.2審計(jì)系統(tǒng)的實(shí)現(xiàn)日志記錄器：收集數(shù)據(jù)根據(jù)要審計(jì)的審計(jì)事件范圍記錄信息輸出：二進(jìn)制形式，或者可以直接讀取的形式或者直接傳送給數(shù)據(jù)分析機(jī)制分析器：分析數(shù)據(jù)輸入：日志分析日志數(shù)據(jù)，使用不同的分析方法來(lái)監(jiān)測(cè)日志數(shù)據(jù)中的異常行為通告器：通報(bào)結(jié)果輸入：分析器的分析結(jié)果把結(jié)果通知系統(tǒng)管理員或其他主體為這些主體提供系統(tǒng)的安全信息輔助他們對(duì)系統(tǒng)可能出現(xiàn)的問(wèn)題進(jìn)行決策Page47WindowsNT的日志文件系統(tǒng)日志跟蹤各種系統(tǒng)事件記錄由WindowsNT的系統(tǒng)組件產(chǎn)生的事件例如：?jiǎn)?dòng)過(guò)程中加載驅(qū)動(dòng)程序錯(cuò)誤又如：系統(tǒng)崩潰應(yīng)用程序日志記錄由應(yīng)用程序或系統(tǒng)程序產(chǎn)生的事件例如：應(yīng)用程序產(chǎn)生的狀態(tài)dll失敗又如：應(yīng)用程序的添加安全日志記錄安全相關(guān)的關(guān)鍵安全事件例如：登錄上網(wǎng)/下網(wǎng)，改變?cè)L問(wèn)權(quán)限，系統(tǒng)啟動(dòng)和關(guān)閉，與創(chuàng)建/打開(kāi)/刪除文件等資源使用相關(guān)聯(lián)的事件Page482.6存儲(chǔ)保護(hù)、運(yùn)行保護(hù)和I/O保護(hù)存儲(chǔ)保護(hù)存儲(chǔ)保護(hù)需求保護(hù)用戶存儲(chǔ)在存儲(chǔ)器中的數(shù)據(jù)保護(hù)單元和保護(hù)精度：字/字塊/頁(yè)面/段單道系統(tǒng)VS多道系統(tǒng)VS多用戶系統(tǒng)存儲(chǔ)器管理和存儲(chǔ)保護(hù)之間的關(guān)系存儲(chǔ)基本概念：虛擬地址空間、段內(nèi)存管理的訪問(wèn)控制：系統(tǒng)段與用戶段基于物理頁(yè)號(hào)的識(shí)別基于描述符的地址解釋機(jī)制Page49基于物理頁(yè)號(hào)的識(shí)別每個(gè)物理頁(yè)號(hào)都被加上一個(gè)密鑰系統(tǒng)只允許擁有該密鑰的進(jìn)程訪問(wèn)該物理頁(yè)每個(gè)進(jìn)程分配一個(gè)密鑰，裝入進(jìn)程的狀態(tài)字中每次訪問(wèn)內(nèi)存時(shí)，由硬件對(duì)該密鑰進(jìn)行校驗(yàn)密鑰：要匹配訪問(wèn)控制信息（讀寫權(quán)限）要匹配缺點(diǎn)：繁瑣Page50基于描述符的地址解釋機(jī)制每個(gè)進(jìn)程有一個(gè)“私有”的地址描述符，描述進(jìn)程對(duì)內(nèi)存某頁(yè)或某段的訪問(wèn)模式可以有兩類訪問(wèn)模式集：用戶狀態(tài)下運(yùn)行的進(jìn)程系統(tǒng)模式下運(yùn)行的進(jìn)程優(yōu)點(diǎn)：開(kāi)銷小Page51基于保護(hù)環(huán)的運(yùn)行保護(hù)等級(jí)域保護(hù)機(jī)制應(yīng)該保護(hù)某一環(huán)不被其外層環(huán)侵入允許在某一環(huán)內(nèi)的進(jìn)程能夠有效的控制和利用該環(huán)以及該環(huán)以外的環(huán)與進(jìn)程隔離機(jī)制不同在任意時(shí)刻，進(jìn)程可以在任何一個(gè)環(huán)內(nèi)運(yùn)行，并轉(zhuǎn)移到另一個(gè)環(huán)。保護(hù)進(jìn)程免遭在同一環(huán)內(nèi)同時(shí)運(yùn)行的其他進(jìn)程的破壞Page52I/O保護(hù)I/O操作一般是特權(quán)操作操作系統(tǒng)對(duì)IO操作進(jìn)行封裝，提供對(duì)應(yīng)的系統(tǒng)調(diào)用將設(shè)備看成一個(gè)客體，對(duì)其應(yīng)用相應(yīng)的訪問(wèn)控制規(guī)則讀寫兩種針對(duì)從處理器到設(shè)備間的路徑Page53三、主流操作系統(tǒng)的安全特性介紹3.1、主流操作系統(tǒng)介紹3.2、各操作系統(tǒng)安全特性原理介紹Page543.1主流操作系統(tǒng)概述目前服務(wù)器常用的操作系統(tǒng)有三類：UnixLinuxWindowsNT/2000/2003Server。這些操作系統(tǒng)都是符合C2級(jí)安全級(jí)別的操作系統(tǒng)。但是都存在不少漏洞，如果對(duì)這些漏洞不了解，不采取相應(yīng)的措施，就會(huì)使操作系統(tǒng)完全暴露給入侵者。Page55UNIX系統(tǒng)UNIX操作系統(tǒng)是由美國(guó)貝爾實(shí)驗(yàn)室開(kāi)發(fā)的一種多用戶、多任務(wù)的通用操作系統(tǒng)。它從一個(gè)實(shí)驗(yàn)室的產(chǎn)品發(fā)展成為當(dāng)前使用普遍、影響深遠(yuǎn)的主流操作系統(tǒng)。UNIX誕生于20世紀(jì)60年代末期，貝爾實(shí)驗(yàn)室的研究人員于1969年開(kāi)始在GE645計(jì)算機(jī)上實(shí)現(xiàn)一種分時(shí)操作系統(tǒng)的雛形，后來(lái)該系統(tǒng)被移植到了DEC的PDP-7小型機(jī)上。1970年給系統(tǒng)正式取名為Unix操作系統(tǒng)。到1973年，Unix系統(tǒng)的絕大部分源代碼都用C語(yǔ)言重新編寫過(guò)，大大提高了Unix系統(tǒng)的可移植性，也為提高系統(tǒng)軟件的開(kāi)發(fā)效率創(chuàng)造了條件。Page56主要特色UNIX操作系統(tǒng)經(jīng)過(guò)20多年的發(fā)展后，已經(jīng)成為一種成熟的主流操作系統(tǒng)，并在發(fā)展過(guò)程中逐步形成了一些新的特色，其中主要特色包括5個(gè)方面。（1）可靠性高（2）極強(qiáng)的伸縮性（3）網(wǎng)絡(luò)功能強(qiáng)（4）強(qiáng)大的數(shù)據(jù)庫(kù)支持功能（5）開(kāi)放性好Page57Linux系統(tǒng)Linux是一套可以免費(fèi)使用和自由傳播的類Unix操作系統(tǒng)，主要用于基于Intelx86系列CPU的計(jì)算機(jī)上。這個(gè)系統(tǒng)是由全世界各地的成千上萬(wàn)的程序員設(shè)計(jì)和實(shí)現(xiàn)的。其目的是建立不受任何商品化軟件的版權(quán)制約的、全世界都能自由使用的Unix兼容產(chǎn)品。Linux最早開(kāi)始于一位名叫Linus

Torvalds的計(jì)算機(jī)業(yè)余愛(ài)好者，當(dāng)時(shí)他是芬蘭赫爾辛基大學(xué)的學(xué)生。目的是想設(shè)計(jì)一個(gè)代替Minix（是由一位名叫AndrewTannebaum的計(jì)算機(jī)教授編寫的一個(gè)操作系統(tǒng)示教程序）的操作系統(tǒng)。這個(gè)操作系統(tǒng)可用于386、486或奔騰處理器的個(gè)人計(jì)算機(jī)上，并且具有Unix操作系統(tǒng)的全部功能。Page58Linux是一個(gè)免費(fèi)的操作系統(tǒng)，用戶可以免費(fèi)獲得其源代碼，并能夠隨意修改。它是在共用許可證GPL(GeneralPublicLicense)保護(hù)下的自由軟件，也有好幾種版本，如RedHatLinux、Slackware，以及國(guó)內(nèi)的XteamLinux、紅旗Linux等等。Linux的流行是因?yàn)樗哂性S多優(yōu)點(diǎn)，典型的優(yōu)點(diǎn)有7個(gè)。Page59Linux典型的優(yōu)點(diǎn)有7個(gè)。（1）完全免費(fèi)（2）完全兼容POSIX1.0標(biāo)準(zhǔn)（3）多用戶、多任務(wù)（4）良好的界面（5）豐富的網(wǎng)絡(luò)功能（6）可靠的安全、穩(wěn)定性能（7）支持多種平臺(tái)Page60Windows系統(tǒng)WindowsNT（NewTechnology）是微軟公司第一個(gè)真正意義上的網(wǎng)絡(luò)操作系統(tǒng)，發(fā)展經(jīng)過(guò)NT3.0、NT40、NT5.0（Windows2000）和NT6.0（Windows2003）等眾多版本，并逐步占據(jù)了廣大的中小網(wǎng)絡(luò)操作系統(tǒng)的市場(chǎng)。WindowsNT眾多版本的操作系統(tǒng)使用了與Windows9X完全一致的用戶界面和完全相同的操作方法，使用戶使用起來(lái)比較方便。與Windows9X相比，WindowsNT的網(wǎng)絡(luò)功能更加強(qiáng)大并且安全。Page61WindowsNT系列操作系統(tǒng)WindowsNT系列操作系統(tǒng)具有以下三方面的優(yōu)點(diǎn)。（1）支持多種網(wǎng)絡(luò)協(xié)議由于在網(wǎng)絡(luò)中可能存在多種客戶機(jī)，如Windows95/98、AppleMacintosh、Unix、OS/2等等，而這些客戶機(jī)可能使用了不同的網(wǎng)絡(luò)協(xié)議，如TCP/IP協(xié)議、IPX/SPX等。WindowsNT系列操作支持幾乎所有常見(jiàn)的網(wǎng)絡(luò)協(xié)議。（2）內(nèi)置Internet功能隨著Internet的流行和TCP/IP協(xié)議組的標(biāo)準(zhǔn)化，WindowsNT內(nèi)置了IIS（InternetInformationServer），可以使網(wǎng)絡(luò)管理員輕松的配置WWW和FTP等服務(wù)。（3）支持NTFS文件系統(tǒng)Windows9X所使用的文件系統(tǒng)是FAT，在NT中內(nèi)置同時(shí)支持FAT和NTFS的磁盤分區(qū)格式。使用NTFS的好處主要是可以提高文件管理的安全性，用戶可以對(duì)NTFS系統(tǒng)中的任何文件、目錄設(shè)置權(quán)限，這樣當(dāng)多用戶同時(shí)訪問(wèn)系統(tǒng)的時(shí)候，可以增加文件的安全性。Page62內(nèi)容介紹IIS安全I(xiàn)E安全Windows系統(tǒng)安全防御Unix/LinuxUnix/Linux帳戶安全Unix/Linux文件系統(tǒng)安全應(yīng)用程序Windows系統(tǒng)的安全架構(gòu)Windows子系統(tǒng)安全Windows帳戶安全Windows身份驗(yàn)證Windows驗(yàn)證及授權(quán)Windows安全策略Windows安全特性Windows文件系統(tǒng)安全3.2、各操作系統(tǒng)安全特性原理介紹Page63Windows安全性需求設(shè)計(jì)目標(biāo)一致的、健壯的、基于對(duì)象的安全模型滿足商業(yè)用戶的安全需求一臺(tái)機(jī)器上多個(gè)用戶之間安全地共享資源進(jìn)程，內(nèi)存，設(shè)備，文件，網(wǎng)絡(luò)安全模型服務(wù)器管理和保護(hù)各種對(duì)象客戶通過(guò)服務(wù)器訪問(wèn)對(duì)象服務(wù)器扮演客戶，訪問(wèn)對(duì)象訪問(wèn)的結(jié)果返回給服務(wù)器Page64Windows系統(tǒng)安全防御Windows系統(tǒng)的安全架構(gòu)Windows子系統(tǒng)安全Windows帳戶安全Windows身份驗(yàn)證Windows驗(yàn)證及授權(quán)Windows文件系統(tǒng)安全Windows安全策略Windows安全特性Page65Windows系統(tǒng)的安全架構(gòu)Windows系統(tǒng)的安全架構(gòu)C2級(jí)別操作系統(tǒng)的安全組件Windows2000安全模型Windows2000核心安全組件Page66Windows系統(tǒng)的安全架構(gòu)WindowsNT/2K的安全包括6個(gè)主要的安全元素：審計(jì)：Audit管理：Administration加密：Encryption權(quán)限控制：AccessControl用戶認(rèn)證：UserAuthentication安全策略：CorporateSecurityPolicyPage67Windows系統(tǒng)的安全架構(gòu)WindowsNT/2K系統(tǒng)內(nèi)置支持用戶認(rèn)證、訪問(wèn)控制、管理、審核。安全策略：CorporateSecurityPolicy用戶認(rèn)證：UserAuthentication加密Encryption審計(jì)Audit權(quán)限控制AccessControl管理

AdministrationPage68Windows系統(tǒng)的安全架構(gòu)Windows系統(tǒng)的安全架構(gòu)C2級(jí)別操作系統(tǒng)的安全組件Windows2000安全模型Windows2000核心安全組件Page69C2級(jí)別操作系統(tǒng)的安全組件

由于Windows是C2級(jí)別的操作系統(tǒng)，下面介紹作為C2級(jí)別的操作系統(tǒng)中所包含的安全組件：訪問(wèn)控制的判斷（Discretionaccesscontrol）對(duì)象重用（Objectreuse）強(qiáng)制登陸（Mandatorylogon）審核（Auditing）對(duì)象的訪問(wèn)控制（Controlofaccesstoobject）

Page70Windows系統(tǒng)的安全架構(gòu)Windows系統(tǒng)的安全架構(gòu)C2級(jí)別操作系統(tǒng)的安全組件Windows2000安全模型Windows2000核心安全組件Page71組策略ActiveDirectory服務(wù)用戶Windows2000安全模型本地安全策略Kerberos審核日志SRM內(nèi)核MSV1_0NetlogonWindowsNT客戶和服務(wù)器Windows2000客戶和服務(wù)器SAM登錄本地安全授權(quán)（LSA）提供Windows2000目錄服務(wù)和復(fù)制。它支持輕量級(jí)目錄訪問(wèn)協(xié)議（LDAP）和數(shù)據(jù)的管理部分Windows2000中默認(rèn)的身份驗(yàn)證協(xié)議。它用于Windows2000計(jì)算機(jī)之間以及支持Kerberos身份驗(yàn)證的客戶之間的所有身份驗(yàn)證。安全子系統(tǒng)的中心組件，它促使訪問(wèn)令牌、管理本地計(jì)算機(jī)上的安全策略并向用戶登錄提供身份驗(yàn)證用于WindowsNT身份驗(yàn)證的身份驗(yàn)證包。它用于為不支持Kerberos身份驗(yàn)證的Windows客戶提供兼容支持一個(gè)內(nèi)核模式組件，它可以避免任何用戶或進(jìn)程直接訪問(wèn)對(duì)象而且還可以驗(yàn)證所有對(duì)象訪問(wèn)，它還生成相應(yīng)的審核消息是本地用戶和工作組的一個(gè)數(shù)據(jù)庫(kù)，用于對(duì)本地用戶的登錄身份進(jìn)行驗(yàn)證以及對(duì)所有登錄的用戶權(quán)限進(jìn)行設(shè)置Page72Windows系統(tǒng)的安全架構(gòu)Windows系統(tǒng)的安全架構(gòu)C2級(jí)別操作系統(tǒng)的安全組件Windows2000安全模型Windows2000核心安全組件Page73標(biāo)識(shí)鑒別授權(quán)訪問(wèn)控制審計(jì)安全策略賬號(hào)指紋視網(wǎng)膜

IC卡證書(shū)根據(jù)獲得的標(biāo)識(shí)信息驗(yàn)證客戶的身份設(shè)置不同對(duì)象的訪問(wèn)權(quán)限（ACL）根據(jù)用戶標(biāo)識(shí)和對(duì)象的ACL進(jìn)行訪問(wèn)控制對(duì)整個(gè)過(guò)程（標(biāo)識(shí)鑒別、對(duì)象授權(quán)、訪問(wèn)控制）進(jìn)行審核Windows2000核心安全組件1、chenaifeng2、liweiming3、sunyongjunSAM數(shù)據(jù)庫(kù)LSASRMLSAPage74Windows系統(tǒng)安全防御Windows系統(tǒng)的安全架構(gòu)Windows子系統(tǒng)安全Windows帳戶安全Windows身份驗(yàn)證Windows驗(yàn)證及授權(quán)Windows文件系統(tǒng)安全Windows安全策略Windows安全特性Page75Windows子系統(tǒng)安全Windows2000安全子系統(tǒng)的工作機(jī)理Windows系統(tǒng)的對(duì)象Windows系統(tǒng)服務(wù)Windows基本的系統(tǒng)進(jìn)程Windows安全子系統(tǒng)的組件Windows子系統(tǒng)安全Page76Windows2000安全子系統(tǒng)的工作機(jī)理安全引用監(jiān)視器（SRM）1、chenaifeng2、liweiming3、sunyongjunSAM或者AD身份鑒別子系統(tǒng)（LSA）賬戶管理子系統(tǒng)對(duì)象授權(quán)管理子系統(tǒng)（LSA）審計(jì)子系統(tǒng)（LSA）添加、刪除賬號(hào)和組設(shè)置對(duì)象的ACL登錄成功獲得訪問(wèn)令牌采用Kerberos或者NTLM協(xié)議進(jìn)行認(rèn)證檢查訪問(wèn)令牌和被訪問(wèn)對(duì)象的ACL必要時(shí)對(duì)驗(yàn)證、授權(quán)過(guò)程作日志審核登錄方式：本地、網(wǎng)絡(luò)除賬號(hào)標(biāo)識(shí)外還可采用令牌、指紋、視網(wǎng)膜、IC卡等方式根據(jù)用戶的權(quán)限和對(duì)象的ACL進(jìn)行訪問(wèn)控制令牌SIDzhangsan*****SID讀寫執(zhí)行更改Page77Windows系統(tǒng)的對(duì)象

為了實(shí)現(xiàn)自身的安全特性，Windows2K/NT把所有的資源作為系統(tǒng)的特殊的對(duì)象。這些對(duì)象包含資源本身，Windows2K/NT提供了一種訪問(wèn)機(jī)制去使用它們。由于這些基本的原因，所以我們把Windows2K/NT稱為基于對(duì)象的操作系統(tǒng)。Microsoft的安全法則： Windows中首要的對(duì)象類型：文件文件夾打印機(jī)I/O設(shè)備窗口線程進(jìn)程內(nèi)存這些安全構(gòu)架的目標(biāo)就是實(shí)現(xiàn)系統(tǒng)的牢固性。從設(shè)計(jì)來(lái)考慮，就是所有的訪問(wèn)都必須通過(guò)同一種方法認(rèn)證，減少安全機(jī)制被繞過(guò)的機(jī)會(huì)。Page78單擊“開(kāi)始”

指向“設(shè)置”

然后單擊“控制面板”

雙擊“管理工具”

然后雙擊“服務(wù)”：在列表框中顯示的是系統(tǒng)可以使用的服務(wù)

Windows2k下可以在命令行中輸入services.msc打開(kāi)服務(wù)列表。Windows的系統(tǒng)服務(wù)介紹Page79服務(wù)包括三種啟動(dòng)類型：自動(dòng)、手動(dòng)、已禁用。自動(dòng)-Windows2000啟動(dòng)的時(shí)候自動(dòng)加載服務(wù)手動(dòng)-Windows2000啟動(dòng)的時(shí)候不自動(dòng)加載服務(wù)，在需要的時(shí)候手動(dòng)開(kāi)啟已禁用-Windows2000啟動(dòng)的時(shí)候不自動(dòng)加載服務(wù)，在需要的時(shí)候選擇手動(dòng)或者自動(dòng)方式開(kāi)啟服務(wù)，并重新啟動(dòng)電腦完成服務(wù)的配置Windows系統(tǒng)服務(wù)的啟動(dòng)類型Page80服務(wù)項(xiàng)目驅(qū)動(dòng)程式Start數(shù)值內(nèi)容記錄HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service目前微軟對(duì)Start內(nèi)容的定義有0、1、2、3、4等五種狀態(tài),。Windows系統(tǒng)服務(wù)的加載模式Page81基本的系統(tǒng)進(jìn)程smss.exeSessionManagercsrss.exe子系統(tǒng)服務(wù)器進(jìn)程winlogon.exe管理用戶登錄services.exe包含很多系統(tǒng)服務(wù)lsass.exe管理IP安全策略以及啟動(dòng)ISAKMP/Oakley(IKE)和IP安全驅(qū)動(dòng)程序。(系統(tǒng)服務(wù))svchost.exe包含很多系統(tǒng)服務(wù)spoolsv.exe將文件加載到內(nèi)存中以便遲后打印。(系統(tǒng)服務(wù))explorer.exe資源管理器internat.exe輸入法

Windows基本的系統(tǒng)進(jìn)程Page82Windows主要系統(tǒng)進(jìn)程詳細(xì)介紹會(huì)話管理器(SMSS.EXE)：Win2K在啟動(dòng)過(guò)程中第一個(gè)啟動(dòng)的用戶模式進(jìn)程優(yōu)先的用戶模式進(jìn)程進(jìn)程實(shí)現(xiàn)的主要功能關(guān)閉系統(tǒng) 改變系統(tǒng)時(shí)間繞過(guò)文件訪問(wèn)權(quán)限/審核來(lái)執(zhí)行備份加載/卸載設(shè)備驅(qū)動(dòng)程序調(diào)整頁(yè)面文件連接調(diào)試器到某個(gè)進(jìn)程WINLOGON（.EXE）服務(wù)控制管理器(SCM)，由SERVICES.EXE實(shí)現(xiàn)本地安全性鑒別子系統(tǒng)(LSASS.EXE)圖形化標(biāo)識(shí)和鑒別(GraphicalIdentificationandAuthentication－GINA)模塊處理用戶登錄憑證Page83Windows安全子系統(tǒng)的組件

WindowsNT安全子系統(tǒng)包含五個(gè)關(guān)鍵的組件：Securityidentifiers，Accesstokens，Securitydescriptors，Accesscontrollists，AccessControlEntries。 安全標(biāo)識(shí)符（SecurityIdentifiers）:

就是我們經(jīng)常說(shuō)的SID，每次當(dāng)我們創(chuàng)建一個(gè)用戶或一個(gè)組的時(shí)候，系統(tǒng)會(huì)分配給改用戶或組一個(gè)唯一SID，當(dāng)你重新安裝WindowsNT后，也會(huì)得到一個(gè)唯一的SID。

SID永遠(yuǎn)都是唯一的，由計(jì)算機(jī)名、當(dāng)前時(shí)間、當(dāng)前用戶態(tài)線程的CPU耗費(fèi)時(shí)間的總和三個(gè)參數(shù)決定以保證它的唯一性。例：

S-1-5-21-1763234323-3212657521-1234321321-500 訪問(wèn)令牌（Accesstokens）:

用戶通過(guò)驗(yàn)證后，登陸進(jìn)程會(huì)給用戶一個(gè)訪問(wèn)令牌，該令牌相當(dāng)于用戶訪問(wèn)系統(tǒng)資源的票證，當(dāng)用戶試圖訪問(wèn)系統(tǒng)資源時(shí)，將訪問(wèn)令牌提供給WindowsNT，然后WindowsNT檢查用戶試圖訪問(wèn)對(duì)象上的訪問(wèn)控制列表。如果用戶被允許訪問(wèn)該對(duì)象，WindowsNT將會(huì)分配給用戶適當(dāng)?shù)脑L問(wèn)權(quán)限。訪問(wèn)令牌是用戶在通過(guò)驗(yàn)證的時(shí)候有登陸進(jìn)程所提供的，所以改變用戶的權(quán)限需要注銷后重新登陸，重新獲取訪問(wèn)令牌。Page84Windows安全子系統(tǒng)的組件安全描述符（Securitydescriptors）：

Windows2000中的任何對(duì)象的屬性都有安全描述符這部分。它保存對(duì)象的安全配置。包含和被保護(hù)對(duì)象相關(guān)聯(lián)的安全信息的數(shù)據(jù)結(jié)構(gòu)。安全描述符包括誰(shuí)擁有對(duì)象，以何種方式訪問(wèn)以及何種審查訪問(wèn)類型等信息訪問(wèn)控制列表（Accesscontrollists）：訪問(wèn)控制列表有兩種：任意訪問(wèn)控制列表（DiscretionaryACL）、系統(tǒng)訪問(wèn)控制列表（SystemACL）。任意訪問(wèn)控制列表包含了用戶和組的列表，以及相應(yīng)的權(quán)限，允許或拒絕。每一個(gè)用戶或組在任意訪問(wèn)控制列表中都有特殊的權(quán)限。而系統(tǒng)訪問(wèn)控制列表是為審核服務(wù)的，包含了對(duì)象被訪問(wèn)的時(shí)間。訪問(wèn)控制項(xiàng)（Accesscontrolentries）:

訪問(wèn)控制項(xiàng)（ACE）包含了用戶或組的SID以及對(duì)象的權(quán)限。訪問(wèn)控制項(xiàng)有兩種：允許訪問(wèn)和拒絕訪問(wèn)。拒絕訪問(wèn)的級(jí)別高于允許訪問(wèn)。當(dāng)你使用管理工具列出對(duì)象的訪問(wèn)權(quán)限時(shí)，列表的排序是以文字為順序的，它并不象防火墻的規(guī)則那樣由上往下的，不過(guò)好在并不會(huì)出現(xiàn)沖突，拒絕訪問(wèn)總是優(yōu)先于允許訪問(wèn)的。Page85安全子系統(tǒng)包括以下部分：

Winlogon

GraphicalIdentificationandAuthenticationDLL(GINA)LocalSecurityAuthority(LSA)SecuritySupportProviderInterface(SSPI)AuthenticationPackagesSecuritysupportproviders

NetlogonServiceSecurityAccountManager(SAM)

Winlogon、LocalSecurityAuthority以及Netlogon

服務(wù)在任務(wù)管理器中都可以看到，其他的以DLL方式被這些文件調(diào)用。Windows安全子系統(tǒng)的具體內(nèi)容SSPIWinlogonGINALocalSecurityAuthorityAuthenticationPackagesSecuritySupportProvidersSecurityAccountManagerNetlogonPage86WinlogonandGina:Winlogon調(diào)用GINADLL，并監(jiān)視安全認(rèn)證序列。Winlogon查找注冊(cè)表中\(zhòng)HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon

，Windows安全子系統(tǒng)WinlogonGinaandLSA本地安全認(rèn)證（LocalSecurityAuthority）：調(diào)用所有的認(rèn)證包，檢查在注冊(cè)表\HKLM\SYSTEM\CurrentControlSet\Control\LSA下AuthenticationPAckages下的值，重新找回本地組的SIDs和用戶的權(quán)限創(chuàng)建用戶的訪問(wèn)令牌管理本地安裝的服務(wù)所使用的服務(wù)賬號(hào)儲(chǔ)存和映射用戶權(quán)限管理審核的策略和設(shè)置管理信任關(guān)系。Page87Windows安全子系統(tǒng)

SSPIandSSP安全支持提供者（SecuritySupportProvider）：安全支持提供者是以驅(qū)動(dòng)的形式安裝的，能夠?qū)崿F(xiàn)一些附加的安全機(jī)制，默認(rèn)情況下，WindowsNT安裝了以下三種：Msnsspc.dll：微軟網(wǎng)絡(luò)挑戰(zhàn)/反應(yīng)認(rèn)證模塊Msapsspc.dll：分布式密碼認(rèn)證挑戰(zhàn)/反應(yīng)模塊，該模塊也可以在微軟網(wǎng)絡(luò)中使用Schannel.dll：該認(rèn)證模塊使用某些證書(shū)頒發(fā)機(jī)構(gòu)提供的證書(shū)來(lái)進(jìn)行驗(yàn)證，常見(jiàn)的證書(shū)機(jī)構(gòu)比如Verisign。這種認(rèn)證方式經(jīng)常在使用SSL（SecureSocketsLayer）和PCT（PrivateCommunicationTechnology）協(xié)議通信的時(shí)候用到。安全支持提供者的接口（SecuritySupportProvideInterface）：微軟的SecuritySupportProvideInterface很簡(jiǎn)單地遵循RFC2743和RFC2744的定義，提供一些安全服務(wù)的API，為應(yīng)用程序和服務(wù)提供請(qǐng)求安全的認(rèn)證連接的方法。認(rèn)證包（AuthenticationPackage）：認(rèn)證包可以為真實(shí)用戶提供認(rèn)證。通過(guò)GINADLL的可信認(rèn)證后，認(rèn)證包返回用戶的SIDs給LSA，然后將其放在用戶的訪問(wèn)令牌中。，Page88網(wǎng)絡(luò)登陸（Netlogon）：

網(wǎng)絡(luò)登陸服務(wù)必須在通過(guò)認(rèn)證后建立一個(gè)安全的通道。要實(shí)現(xiàn)這個(gè)目標(biāo)，必須通過(guò)安全通道與域中的域控制器建立連接，然后，再通過(guò)安全的通道傳遞用戶的口令，在域的域控制器上響應(yīng)請(qǐng)求后，重新取回用戶的SIDs和用戶權(quán)限。安全賬號(hào)管理者（SecurityAccountManager）：

安全賬號(hào)管理者，也就是我們經(jīng)常所說(shuō)的SAM，它是用來(lái)保存用戶賬號(hào)和口令的數(shù)據(jù)庫(kù)。保存了注冊(cè)表中\(zhòng)HKLM\Security\Sam中的一部分內(nèi)容。不同的域有不同的Sam，在域復(fù)制的過(guò)程中，Sam包將會(huì)被拷貝。Windows安全子系統(tǒng)NetlogonandSAMPage89當(dāng)從Windows2000ProfessionalorServer登錄時(shí),Windows2000用兩種過(guò)程驗(yàn)證本地登錄.Windows2000嘗試使用Kerberos作為基本驗(yàn)證方式.如果找不到KeyDistributionCenter(KDC)服務(wù),Windows會(huì)使用WindowsNTLanManager(NTLM)安全機(jī)制來(lái)驗(yàn)證在本地SAM中的用戶。本地登錄驗(yàn)證過(guò)程如下:輸入用戶名及密碼然后按回車鍵.GraphicalIdentificationandAuthentication(GINA)會(huì)收集這些信息.GINA傳送這些安全信息給LocalSecurityAuthority(LSA)來(lái)進(jìn)行驗(yàn)證.TheLSA傳送這些信息給SecuritySupportProviderInterface(SSPI).SSPI是一個(gè)與Kerberos和NTLM通訊的接口服務(wù).SSPI傳送用戶名及密碼給KerberosSSP.KerberosSSP檢查目的機(jī)器是本機(jī)還是域名.如果是本機(jī),Kerberos返回錯(cuò)誤消息給SSPI.如果找不到KDC,機(jī)器生成一個(gè)用戶不可見(jiàn)的內(nèi)部錯(cuò)誤.這個(gè)內(nèi)部錯(cuò)誤促發(fā)SSPI通知GINA.GINA再次傳送這些安全信息給LSA.LSA再次傳送這些安全信息給SSPI.這次,SSPI傳送用戶名及密碼給NTLMdriverMSV1-0SSP.NTLMdriver用Netlogon

服務(wù)和本地SAM來(lái)驗(yàn)證用戶.如果NTLM和Kerberos都不能驗(yàn)證你的帳號(hào),你會(huì)收到下列錯(cuò)誤消息提示您輸入正確的用戶名和密碼.Windows2000本地登錄過(guò)程Page90Windows系統(tǒng)安全防御Windows系統(tǒng)的安全架構(gòu)Windows子系統(tǒng)安全Windows帳戶安全Windows身份驗(yàn)證Windows驗(yàn)證及授權(quán)Windows文件系統(tǒng)安全Windows安全策略Windows安全特性Page91什么是用戶帳號(hào)？賬號(hào)賬號(hào)的屬性第一安裝windows2000時(shí)將創(chuàng)建兩個(gè)帳號(hào)：Administrator和GuestPage92什么是組？組用戶帳號(hào)的集合Windows2000包含一些預(yù)定義的組，共四類：本地組：本地域組：全局域組：通用組：Page93Windows帳戶安全——SID介紹在學(xué)習(xí)系統(tǒng)帳戶之前先了解一些SIDSID(SecurityIdentifiers)在Windows2000/XP/2003系統(tǒng)中每個(gè)用戶帳號(hào)所對(duì)應(yīng)著的一個(gè)唯一字符串Windows系統(tǒng)根據(jù)SID來(lái)識(shí)別用戶和組的,以及分配他們響應(yīng)的訪問(wèn)權(quán)限SID格式:S-R-X-Y(1)-Y(2)--Y(N)S:表示該字符串是SIDR:SID的版本號(hào)

X:標(biāo)識(shí)符的頒發(fā)機(jī)構(gòu)

Y(1),Y(2)...:子頒發(fā)機(jī)構(gòu)

Y(N):相關(guān)標(biāo)識(shí)符RID,標(biāo)識(shí)域內(nèi)帳戶和組Page94Windows帳戶安全——SID介紹在同一個(gè)域中,帳戶的區(qū)別在于RID一些常見(jiàn)的RID值:Administrator:500Guest:501NT/W2K域中創(chuàng)建的第一個(gè)帳號(hào):1000SID相關(guān)工具:User2sid:用于通過(guò)用戶名獲得主機(jī)的SIDSid2user:用于通過(guò)已知主機(jī)的SID獲得用戶名

Whoami:能夠探明主機(jī)域名,用戶名,登錄用戶信息。還能顯示完整的登錄信息以及域名及其SIDPage95windowsNT及win2000中對(duì)用戶帳戶的安全管理使用了安全帳號(hào)管理器(securityaccountmanager)的機(jī)制安全帳號(hào)管理器對(duì)帳號(hào)的管理是通過(guò)安全標(biāo)識(shí)進(jìn)行的，安全標(biāo)識(shí)在帳號(hào)創(chuàng)建時(shí)就同時(shí)創(chuàng)建，一旦帳號(hào)被刪除，安全標(biāo)識(shí)也同時(shí)被刪除安全標(biāo)識(shí)是唯一的，即使是相同的用戶名，在每次創(chuàng)建時(shí)獲得的安全標(biāo)識(shí)都時(shí)完全不同的。因此，一旦某個(gè)帳號(hào)被刪除，它的安全標(biāo)識(shí)就不再存在了，即使用相同的用戶名重建帳號(hào)，也會(huì)被賦予不同的安全標(biāo)識(shí)，不會(huì)保留原來(lái)的權(quán)限。Windows系統(tǒng)中的賬號(hào)SAMPage96安全賬號(hào)管理器的具體表現(xiàn)就是%SystemRoot%\system32\config\sam文件。sam文件是windowsNT的用戶帳戶數(shù)據(jù)庫(kù),所有2K/NT用戶的登錄名及口令等相關(guān)信息都會(huì)保存在這個(gè)文件中。sam文件可以認(rèn)為類似于unix系統(tǒng)中的passwd文件，不過(guò)沒(méi)有這么直觀明了。passwd使用的是存文本的格式保存信息，這是一個(gè)linux

passwd文件內(nèi)容的例子

root：8L7v6：0：0:root:/root:/bin/bash

msql:!!:502:504:/home/msql:/bin/bash

unix中的passwd文件中每一行都代表一個(gè)用戶資料，每一個(gè)賬號(hào)都有七部分資料，不同資料中使用“:"分割格式如下賬號(hào)名稱:密碼:uid:gid:個(gè)人資料:用戶目錄：shell

除了密碼是加密的以外(這里的密碼部分已經(jīng)shadow了)其他項(xiàng)目非常清楚明了。而Windows中就不是這樣，雖然也是用文件保存賬號(hào)信息，不過(guò)如果我們用編輯器打開(kāi)這些NT的sam文件，除了亂碼什么也看不到。因?yàn)镹T系統(tǒng)中將這些資料全部進(jìn)行了加密處理，一般的編輯器是無(wú)法直接讀取這些信息的。注冊(cè)表中的

HKEY_LOCAL_MACHINE\SAM\SAMHKEY_LOCAL_MACHINE\SECURITY\SAM

保存的就是SAM文件的內(nèi)容，在正常設(shè)置下僅對(duì)system是可讀寫的。安全賬號(hào)管理器：SAMPage97Windows系統(tǒng)安全Windows系統(tǒng)的安全架構(gòu)Windows子系統(tǒng)安全Windows帳戶安全Windows身份驗(yàn)證Windows驗(yàn)證及授權(quán)Windows文件系統(tǒng)安全Windows安全策略Windows安全特性Page98身份驗(yàn)證知道你是誰(shuí)，才能授予訪問(wèn)權(quán)限Page99驗(yàn)證身份的四種方法：Whatyouknow→ 密碼Whatyouhave→ 智能卡、RFIDWhoyouare→ 指紋、視網(wǎng)膜掃描Whereyouare→ 網(wǎng)絡(luò)基于IP（欺騙？）身份驗(yàn)證Page100Winlogon用戶登錄過(guò)程GINA識(shí)別安全注意序列（SecureAttentionSequence，SAS），并調(diào)用相應(yīng)的GINA處理程序向用戶命令解釋程序授予訪問(wèn)令牌加載用戶配置文件保護(hù)計(jì)算機(jī)和桌面控制屏幕保護(hù)程序處理遠(yuǎn)程（性能監(jiān)視器）請(qǐng)求Page101登錄WINDOWS系統(tǒng)的方式本地登錄網(wǎng)絡(luò)登錄網(wǎng)絡(luò)登錄網(wǎng)絡(luò)登錄Page102Windows系統(tǒng)安全Windows系統(tǒng)的安全架構(gòu)Windows子系統(tǒng)安全Windows帳戶安全Windows身份驗(yàn)證Windows驗(yàn)證及授權(quán)Windows文件系統(tǒng)安全Windows安全策略Windows安全特性Page103

權(quán)利適用于對(duì)整個(gè)系統(tǒng)范圍內(nèi)的對(duì)象和任務(wù)的操作，通常是用來(lái)授權(quán)用戶執(zhí)行某些系統(tǒng)任務(wù)。當(dāng)用戶登錄到一個(gè)具有某種權(quán)利的帳號(hào)時(shí)，該用戶就可以執(zhí)行與該權(quán)利相關(guān)的任務(wù)。下面列出了用戶的特定權(quán)利：

Accessthiscomputerfromnetwork可使用戶通過(guò)網(wǎng)絡(luò)訪問(wèn)該計(jì)算機(jī)。

Addworkstationtoadomain允許用戶將工作站添加到域中。

Backupfilesanddirectories授權(quán)用戶對(duì)計(jì)算機(jī)的文件和目錄進(jìn)行備份。

Changethesystemtime用戶可以設(shè)置計(jì)算機(jī)的系統(tǒng)時(shí)鐘。

Loadandunloaddevicedrive允許用戶在網(wǎng)絡(luò)上安裝和刪除設(shè)備的驅(qū)動(dòng)程序。

Restorefilesanddirectories允許用戶恢復(fù)以前備份的文件和目錄。

Shutdownthesystem允許用戶關(guān)閉系統(tǒng)。Windows系統(tǒng)的用戶權(quán)利Page104權(quán)限適用于對(duì)特定對(duì)象如目錄和文件（只適用于NTFS卷）的操作，指定允許哪些用戶可以使用這些對(duì)象，以及如何使用（如把某個(gè)目錄的訪問(wèn)權(quán)限授予指定的用戶）。權(quán)限分為目錄權(quán)限和文件權(quán)限，每一個(gè)權(quán)級(jí)別都確定了一個(gè)執(zhí)行特定的任務(wù)組合的能力，這些任務(wù)是：Read(R)、Execute(X)、Write(W)、Delete(D)、SetPermission(P)和TakeOwnership(O)。后面顯示了這些任務(wù)是如何與各種權(quán)限級(jí)別相關(guān)聯(lián)的。

Windows系統(tǒng)的用戶權(quán)限窗口內(nèi)存文件夾文件打印機(jī)I/O設(shè)備進(jìn)程線程賬號(hào)對(duì)象Page105目錄權(quán)限權(quán)限級(jí)別RXWDPO允許的用戶動(dòng)作NoAccess

用戶不能訪問(wèn)該目錄ListRX可以查看目錄中的子目錄和文件名，也可以進(jìn)入其子目錄ReadRX具有List權(quán)限，用戶可以讀取目錄中的文件和運(yùn)行目錄中的應(yīng)用程序AddXW用戶可以添加文件和子錄AddandReadRXW具有Read和Add的權(quán)限ChangeRXWD有Add和Read的權(quán)限，另外還可以更改文件的內(nèi)容，刪除文件和子目錄FullcontrolRXWDPO有Change的權(quán)限，另外用戶可以更改權(quán)限和獲取目錄的所有權(quán)如果對(duì)目錄有Execute(X)權(quán)限，表示可以穿越目錄，進(jìn)入其子目錄Windows系統(tǒng)的權(quán)限

目錄權(quán)限Page106文件權(quán)限權(quán)限級(jí)別RXWDPO允許的用戶動(dòng)作NoAccess

用戶不能訪問(wèn)該文件ReadRX用戶可以讀取該文件，如果是應(yīng)用程序可以運(yùn)行ChangeRXWD有Read的權(quán)限，還可用修和刪除文件FullcontrolRXWDPO包含Change的權(quán)限，還可以更改權(quán)限和獲取文件的有權(quán)Windows系統(tǒng)的權(quán)限

文件權(quán)限Page107下表列出從最大限制到最小限制的共享權(quán)限共享權(quán)限級(jí)別允許的用戶動(dòng)作NoAccess(不能訪問(wèn))禁止對(duì)目錄和其中的文件及子目錄進(jìn)行訪問(wèn)但允許查看文件名和子目錄名，改變共享Read(讀)目錄的子目錄，還允許查看文件的數(shù)據(jù)和運(yùn)行應(yīng)用程序Change(更改)具有“讀”權(quán)限中允許的操作，另外允許往目錄中添加文件和子目錄，更改文數(shù)據(jù)，刪除文件和子目錄Fullcontrol(完全控制)具有“更改”權(quán)限中允許的操作，另外還允許更改權(quán)限(只適用于NTFS卷)和獲所有權(quán)(只適用于NTFS卷)共享點(diǎn)一定要小心地分配。因?yàn)闄?quán)限僅僅是分配給共享點(diǎn)的，任何共享點(diǎn)下的文件：或目錄都足以和共享點(diǎn)本身相同的權(quán)限被訪問(wèn)的。Windows系統(tǒng)的權(quán)限

共享權(quán)限共享權(quán)限共享只適用于文件夾（目錄），如果文件夾不是共享的，那么在網(wǎng)絡(luò)上就不會(huì)有用戶看到它，也就更不能訪問(wèn)。網(wǎng)絡(luò)上的絕大多數(shù)服務(wù)器主要用于存放可被網(wǎng)絡(luò)用戶訪問(wèn)的文件和目錄，要使網(wǎng)絡(luò)用戶可以訪問(wèn)在NTServer服務(wù)器上的文件和目錄，必須首先對(duì)它建立共享。共享權(quán)限建立了通過(guò)網(wǎng)絡(luò)對(duì)共享目錄訪問(wèn)的最高級(jí)別。Page108Windows系統(tǒng)安全Windows系統(tǒng)的安全架構(gòu)Windows子系統(tǒng)安全Windows帳戶安全Windows身份驗(yàn)證Windows驗(yàn)證及授權(quán)Windows文件系統(tǒng)安全Windows安全策略Windows安全特性Page109Windows文件系統(tǒng)安全NTFS:磁盤特性文件權(quán)限特性數(shù)據(jù)加密特性審計(jì)特性Page110Windows文件系統(tǒng)安全——文件權(quán)限特性只有管理員可以設(shè)置文件系統(tǒng)權(quán)限可以添加/修改/刪除/需要設(shè)置的用戶可以修改用戶的權(quán)限拒絕的優(yōu)先級(jí)別高于允許Page111

Windows文件系統(tǒng)安全——文件權(quán)限特性拒絕訪問(wèn)的結(jié)果：Page112Windows文件系統(tǒng)安全——數(shù)據(jù)加密特性Page113Windows文件系統(tǒng)安全——審計(jì)特性注意：要為文件或目錄設(shè)置審計(jì)功能，要確保使用的是administrator組的成員登錄Page114Windows系統(tǒng)安全Windows系統(tǒng)的安全架構(gòu)Windows子系統(tǒng)安全Windows帳戶安全Windows身份驗(yàn)證Windows驗(yàn)證及授權(quán)Windows文件系統(tǒng)安全Windows安全策略Windows安全特性Page115Windows安全策略本地安全策略：

Secpol.msc,Windows自帶的安全管理工具。包含了允許或禁止和人訪問(wèn)系統(tǒng)、帳戶和密碼、用戶權(quán)限、安全審核等安全屬性的設(shè)置帳戶策略本地策略公鑰策略IP安全策略Page116賬戶策略帳戶策略所有安全策略都是基于計(jì)算機(jī)的策略。帳戶策略定義在計(jì)算機(jī)上，然而卻可影響用戶帳戶與計(jì)算機(jī)或域交互作用的方式。帳戶策略包含三個(gè)子集：密碼策略。用于域或本地用戶帳戶。確定密碼設(shè)置（如強(qiáng)制執(zhí)行和有效期限）。帳戶鎖定策略。用于域或本地用戶帳戶。確定某個(gè)帳戶被鎖定在系統(tǒng)之外的情況和時(shí)間長(zhǎng)短。Kerberos策略。用于域用戶帳戶。確定與Kerberos相關(guān)的設(shè)置（如票的有限期限和強(qiáng)制執(zhí)行）。本地計(jì)算機(jī)策略中沒(méi)有Kerberos策略。對(duì)于域帳戶，只有一種帳戶策略。賬戶策略必須在“默認(rèn)域策略”中定義，且由組成該域的域控制器實(shí)施。域控制器始終從“默認(rèn)域策略組策略對(duì)象”中獲得賬戶策略，即使存在應(yīng)用到該域控制器所在的部門的不同賬戶策略。默認(rèn)情況下，加入到域（如成員計(jì)算機(jī)）中的工作站和服務(wù)器也同樣接收到各自本地賬戶的相同賬戶策略。然而，本地帳戶策略可能不同于域帳戶策略，例如，當(dāng)為各個(gè)本地帳戶定義帳戶策略時(shí)即是如此。與帳戶策略具有類似行為的“安全選項(xiàng)”有兩個(gè)策略。它們是：網(wǎng)絡(luò)訪問(wèn)：允許匿名SID/NAME轉(zhuǎn)換網(wǎng)絡(luò)安全登錄時(shí)間超時(shí)時(shí)強(qiáng)制注銷Page117本地策略Page118公鑰策略公鑰策略概述使用組策略中的公鑰策略設(shè)置可以：使計(jì)算機(jī)自動(dòng)向企業(yè)證書(shū)頒發(fā)機(jī)構(gòu)提交證書(shū)申請(qǐng)并安裝頒發(fā)的證書(shū)。這有助于確保計(jì)算機(jī)能獲得在組織內(nèi)執(zhí)行公鑰加密操作（例如，為Internet協(xié)議安全(IPSec)或客戶端驗(yàn)證）所需的證書(shū)創(chuàng)建和分發(fā)證書(shū)信任列表(CTL)。證書(shū)信任列表是根

證書(shū)頒發(fā)機(jī)構(gòu)(CA)的證書(shū)的簽名列表，管理員認(rèn)為該列表對(duì)指定目的來(lái)說(shuō)值得信任，例如客戶身份驗(yàn)證或安全電子郵件。例如，如果認(rèn)為證書(shū)頒發(fā)機(jī)構(gòu)的證書(shū)對(duì)IPSec而言可以信任，但對(duì)客戶身份驗(yàn)證不足以信任，則通過(guò)證書(shū)信任列表可